管理后臺常見漏洞
這里說的管理后臺主要是指供企業(yè)內(nèi)部用戶使用的ToB類的系統(tǒng),如OA、人力資源管理系統(tǒng)、財務(wù)系統(tǒng)、ERP系統(tǒng)等。長期以來,管理后臺功能臃腫,不受重視,功能由不同的團隊開發(fā)、使用第三方組件甚至直接是購買的第三方公司開發(fā)的系統(tǒng)。各種原因疊加之下導(dǎo)致它常常成為系統(tǒng)漏洞的高發(fā)區(qū)。拿JAVA來說,早期的管理后臺大多由Java + JSP開發(fā),新的技術(shù)棧則主要使用前后端分離的方式,前端使用如VUE等前端框架,后端則主要提供Rest接口的方式與前端交互。前后端分離后對管理后臺的權(quán)限管理方式也產(chǎn)生了較大的影響。
權(quán)限問題
一個功能完整的管理后臺通常都會有菜單、按鈕的權(quán)限管理,對某個角色或用戶,可以控制菜單或按鈕的顯示和隱藏。這些只是用戶可見的部分,稍有經(jīng)驗的技術(shù)人員會直接在地址欄輸入URL的方式來繞過表面的限制。比如正常情況下A只能訪問URLA,B只能訪問URLB,A只需要猜測得到URLB直接輸入地址就進入了他不該有權(quán)限看到的頁面。如果管理后臺是前后端分離的,而且URL又是純前端地址,那這種方式是防不住的,只能做好接口權(quán)限。
接口權(quán)限,是限制用戶只能調(diào)用有權(quán)限的接口。這樣可以有效避免非法的訪問和調(diào)用,保護系統(tǒng)接口數(shù)據(jù)安全。要做到接口權(quán)限安全,通常會在每個接口調(diào)用時增加權(quán)限判斷,有經(jīng)驗的程序員或使用注解或使用AOP配置的方式簡化編碼,但還是比較麻煩。如果接口沒做權(quán)限控制或者只限制了登錄的用戶就有權(quán)限訪問該接口,那普通用戶只需要用猜測等方法得到了敏感接口地址,就能調(diào)用管理員才能調(diào)用的接口。
比接口權(quán)限更麻煩的是數(shù)據(jù)權(quán)限,數(shù)據(jù)權(quán)限是將行級數(shù)據(jù)權(quán)限和用戶或角色進行綁定,限制用戶只能訪問和操作自己管轄范圍內(nèi)的數(shù)據(jù)。用戶A對接口B有訪問權(quán)限,不代理用戶A對接口B能返回的所有數(shù)據(jù)都有權(quán)限,所以也可以說數(shù)據(jù)權(quán)限是更細(xì)粒度的接口權(quán)限。但是一般不能通過增加多個接口的方式來實現(xiàn)數(shù)據(jù)權(quán)限,因為角色或用戶太多了。數(shù)據(jù)權(quán)限需要在建模時就提前設(shè)計,會通過增加列的方式標(biāo)識能訪問該行數(shù)據(jù)的權(quán)限級別。如果系統(tǒng)沒做好數(shù)據(jù)權(quán)限,對攻擊者來說最簡單的利用方式就是把接口的入?yún)⒏牧恕1热缒秤脩艟哂薪M織架構(gòu)管理的權(quán)限能看到廣州分公司的組織架構(gòu),該功能調(diào)用的接口是:http://moext.com/org.jsp?root=020,他只需要改成http://moext.com/org.jsp?root=1(假設(shè)1是根組織),那就能看到全國的組織架構(gòu)了。
另外一個權(quán)限問題高發(fā)區(qū)是“我的資料“功能,通常來說“我的資料“只需要從session中取用戶,再按用戶查詢信息即可。但有些缺乏經(jīng)驗的程序員估計是為了復(fù)用用戶管理查看用戶信息的功能,把用戶ID暴露給前端,由前端傳用戶ID過來查我的信息。據(jù)說早些年就有某公司程序員在公司的OA上利用這個漏洞拿到了整個公司員工的私密信息。
富文本編輯器
富文本編輯器可以允許用戶使用不同的字體、顏色、大小和其他格式來編輯文本,同時還可以插入圖片、視頻等多種媒體類型,功能非常豐富。但是,正是由于功能豐富,我們無法像防XSS攻擊一樣過濾特殊字符,而且這些編輯器的附件上傳功能通常是固化的,我們沒辦法做過多的限制。所以富文本編輯是XSS漏洞和文件上傳漏洞的高發(fā)區(qū)。
功能豐富的查詢條件
同樣實現(xiàn)多查詢條件下的X功能管理列表,在編碼使用SQL拼接條件比用預(yù)編譯占位的方式要方便太多了,但是前者雖然方便簡單了但又引入了SQL注入漏洞。筆者甚至見過某知名的OA系統(tǒng),它的工作流管理功能非常強大,但分析后發(fā)現(xiàn)管理員在前端加個審批節(jié)點后端是通過DDL建個臨時表的方式實現(xiàn)的。攻擊者可以輕松地修改表結(jié)構(gòu)、刪除數(shù)據(jù)等。這種既存在SQL注入漏洞又具有DDL權(quán)限的系統(tǒng)在一些舊的OA、ERP、人力資源管理系統(tǒng)上也不在少數(shù)。
